朝鲜黑客正试图通过加密交换平台 Coinbase 的虚假工作机会来吸引加密货币专家。
据 Bleeping Computer 报道,由著名的朝鲜 Lazarus 黑客组织策划的一场活动已经被发现,其目标是那些参与日益流行的金融科技(金融技术)行业的人。
在显然是社会工程攻击的一部分中, 黑客组织通过 LinkedIn 与目标进行对话,最终导致向潜在受害者提供工作机会。
Coinbase 是一家领先的加密货币交换公司,因此,从表面上看,许多不参与攻击的人自然会对将它们添加到他们的简历中感兴趣。但是,如果攻击成功,那么后果可能会导致无数的加密钱包被没收和被盗。
Hossein Jazi 在互联网安全公司 Malwarebytes 担任安全研究员,自 2022 年 2 月以来一直在分析 Lazarus,他说来自网络团伙的个人伪装成 Coinbase 的员工。该骗局通过接近潜在受害者来担任“产品安全工程经理”的角色来吸引他们。
如果该人因虚假的工作机会而堕落,那么他们最终将被指示下载一份完整解释该工作的 PDF。但是,该文件本身实际上是一个恶意可执行文件,它利用 PDF 图标来欺骗人们。
该文件本身被称为“Coinbase_online_careers_2022_07.exe”,如果你不知道的话,它看起来很无辜。但是,当它打开一个由威胁参与者创建的伪造 PDF 文档时,它还会将恶意 DLL 代码加载到目标系统上。
成功部署到系统后,恶意软件将利用 GitHub 作为中央指挥中心来接收命令,之后它可以自由地对已被破坏的设备进行攻击。
美国情报部门此前曾就 Lazarus 发行加密货币钱包和感染木马的投资应用程序的活动发出警告,有效地允许他们窃取私钥。
至少可以说,该组织的努力是有利可图的——联邦调查局发现它当时窃取了价值超过 6.17 亿美元的加密货币。
这种与基于区块链的游戏相关的特殊攻击是由于另一个具有欺骗性的 PDF 文件而实现的,该文件作为工作机会发送给了区块链的一位工程师。一旦文件被打开,个人的系统就会被感染,随后为 Lazarus 定位安全漏洞并大范围利用它铺平了道路。
无论如何,前景是可怕的:打开一个 PDF 文件会导致整个网络受到威胁。以处理数十亿美元加密交易的 Coinbase 为例,如果 Lazarus 确实设法找到了一种方法,人们只能想象结果和财务后果会是什么。
目前,如果 Coinbase 以任何身份与您接触,最好谨慎打开任何文件。